网络安全奖惩管理细则

‘壹’ 网络安全的措施有哪几点

计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。

1、保护网络安全。

网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。

2、保护应用安全。

保护应用安全，主要是针对特定应用（如Web服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。

虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。

3、保护系统安全。

保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。

(1)网络安全奖惩管理细则扩展阅读：

安全隐患

1、 Internet是一个开放的、无控制机构的网络，黑客（Hacker）经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。

2、 Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。

3、 Internet上的通信业务多数使用Unix操作系统来支持，Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。

4、在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。

5、电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。

6、计算机病毒通过Internet的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。

‘贰’ 网络安全管理的管理制度

1、所有接入网络的用户必须遵守国家有关法律、法规，严格执行安全保密制度，并对所提供的信息负责。任何单位和个人不得利用连网计算机从事危害城域网及校园网防火墙、路由器、交换机、服务器等网络设备的活动。

2、在网站上发现大量有害信息，以及遭到黑客攻击后，必须在12小时内向三门县教育局现代教育中心及公安机关报告，并协助查处。在保留有关上网信息和日志记录的前题下，及时删除有关信息。问题严重、情况紧急时，应关闭交换机或相关服务器。

3、任何单位和个人不得在校园网及其连网的计算机上收阅下载传递有政治问题和淫秽色情内容的信息。

4、所有接入网络的用户必须对提供的信息负责，网络上信息、资源、软件等的使用应遵守知识产权的有关法律法规。对于运行无合法版权的网络软件而引起的版权纠纷由使用部门(个人)承担全部责任。

5、严禁在网络上使用来历不明、引发病毒传染的软件，对于来历不明的可能引发计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。

6、认真执行各项管理制度和技术规范，监控、封堵、清除网上有害信息。为有效地防范网上非法活动、各子网站要加强出口管理和用户管理。重要网络设备必须保持日志记录，时间不少于180天。

‘叁’ 如何解决企业远程办公网络安全问题

企业远程办公的网络安全常见问题及建议

• 发表时间：2020-03-06 11:46:28

• 作者：宁宣凤、吴涵等

• 来源：金杜研究院

• 分享到：微信新浪微博QQ空间

当前是新型冠状病毒防控的关键期，举国上下万众一心抗击疫情。为增强防控，自二月初以来，北京、上海、广州、杭州等各大城市政府公开表态或发布通告，企业通过信息技术开展远程协作办公、居家办公［1］。2月19日，工信部发布《关于运用新一代信息技术支撑服务疫情防控和复工复产工作的通知》，面对疫情对中小企业复工复产的严重影响，支持运用云计算大力推动企业上云，重点推行远程办公、居家办公、视频会议、网上培训、协同研发和电子商务等在线工作方式［2］。

面对国家和各地政府的呼吁，全国企业积极响应号召。南方都市报在2月中旬发起的网络调查显示，有47．55％的受访者在家办公或在线上课［3］。面对特殊时期庞大的远程办公需求，远程协作平台也积极承担社会担当，早在1月底，即有17家企业的21款产品宣布对全社会用户或特定机构免费开放其远程写作平台软件［4］。

通过信息技术实现远程办公，无论是网络层、系统层，还是业务数据，都将面临更加复杂的网络安全环境，为平稳有效地实现安全复工复产，降低疫情对企业经营和发展的影响，企业应当结合实际情况，建立或者适当调整相适应的网络与信息安全策略。

一、远程办公系统的类型

随着互联网、云计算和物联网等技术的深入发展，各类企业，尤其是互联网公司、律所等专业服务公司，一直在推动实现企业内部的远程协作办公，尤其是远程会议、文档管理等基础功能应用。从功能类型来看，远程办公系统可分为以下几类：［5］

综合协作工具，即提供一套综合性办公解决方案，功能包括即时通信和多方通信会议、文档协作、任务管理、设计管理等，代表软件企包括企业微信、钉钉、飞书等。

即时通信（即InstantMessaging或IM）和多方通信会议，允许两人或以上通过网络实时传递文字、文件并进行语音、视频通信的工具，代表软件包括Webex、Zoom、Slack、Skype等。

文档协作，可为多人提供文档的云存储和在线共享、修改或审阅功能，代表软件包括腾讯文档、金山文档、印象笔记等。

任务管理，可实现任务流程、考勤管理、人事管理、项目管理、合同管理等企业办公自动化（即OfficeAutomation或OA）功能，代表软件包括Trello、Tower、泛微等。

设计管理，可根据使用者要求，系统地进行设计方面的研究与开发管理活动，如素材、工具、图库的管理，代表软件包括创客贴、Canvas等。

二、远程办公不同模式下的网络安全责任主体

《网络安全法》（“《网安法》”）的主要规制对象是网络运营者，即网络的所有者、管理者和网络服务提供者。网络运营者应当承担《网安法》及其配套法规下的网络运行安全和网络信息安全的责任。

对于远程办公系统而言，不同的系统运营方式下，网络安全责任主体（即网络运营者）存在较大的差异。按照远程办公系统的运营方式划分，企业远程办公系统大致可以分为自有系统、云办公系统和综合型系统三大类。企业应明确区分其与平台运营方的责任界限，以明确判断自身应采取的网络安全措施。

（1）自有系统

此类模式下，企业的远程办公系统部署在自有服务器上，系统由企业自主研发、外包研发或使用第三方企业级软件架构。此类系统开发成本相对较高，但因不存在数据流向第三方服务器，安全风险则较低，常见的企业类型包括国企、银行业等重要行业企业与机构，以及经济能力较强且对安全与隐私有较高要求的大型企业。

无论是否为企业自研系统，由于系统架构完毕后由企业单独所有并自主管理，因此企业构成相关办公系统的网络运营者，承担相应的网络安全责任。

（2）云办公系统

此类办公系统通常为SaaS系统或APP，由平台运营方直接在其控制的服务器上向企业提供注册即用的系统远程协作软件平台或APP服务，供企业用户与个人（员工）用户使用。此类系统构建成本相对经济，但往往只能解决企业的特定类型需求，企业通常没有权限对系统进行开发或修改，而且企业数据存储在第三方服务器。该模式的常见企业类型为相对灵活的中小企业。

由于云办公系统（SaaS或APP）的网络、数据库、应用服务器都由平台运营方运营和管理，因此，云办公系统的运营方构成网络运营者，通常对SaaS和APP的网络运行安全和信息安全负有责任。

实践中，平台运营方会通过用户协议等法律文本，将部分网络安全监管义务以合同约定方式转移给企业用户，如要求企业用户严格遵守账号使用规则，要求企业用户对其及其员工上传到平台的信息内容负责。

（3）综合型系统

此类系统部署在企业自有服务器和第三方服务器上，综合了自有系统和云办公，系统的运营不完全由企业控制，多用于有多地架设本地服务器需求的跨国企业。

云办公系统的供应商和企业本身都可能构成网络运营者，应当以各自运营、管理的网络系统为边界，对各自运营的网络承担相应的网络安全责任。

对于企业而言，为明确其与平台运营方的责任边界，企业应当首先确认哪些“网络”是企业单独所有或管理的。在远程办公场景下，企业应当考虑多类因素综合认定，分析包括但不限于以下：

办公系统的服务器、终端、网络设备是否都由企业及企业员工所有或管理；

企业对企业使用的办公系统是否具有最高管理员权限；

办公系统运行过程中产生的数据是否存储于企业所有或管理的服务器；

企业与平台运营方是否就办公系统或相关数据的权益、管理权有明确的协议约定等。

当然，考虑到系统构建的复杂性与多样性，平台运营方和企业在远程协作办公的综合系统中，可能不免共同管理同一网络系统，双方均就该网络承担作为网络运营者的安全责任。但企业仍应通过合同约定，尽可能固定网络系统中双方各自的管理职责以及网络系统的归属。因此，对于共同管理、运营远程协作办公服务平台的情况下，企业和平台运营方应在用户协议中明确双方就该系统各自管理运营的系统模块、各自对其管理的系统模块的网络安全责任以及该平台的所有权归属。

三、远程办公涉及的网络安全问题及应对建议

下文中，我们将回顾近期远程办公相关的一些网络安全热点事件，就涉及的网络安全问题进行简要的风险评估，并为企业提出初步的应对建议。

1．用户流量激增导致远程办公平台“短时间奔溃”，平台运营方是否需要承担网络运行安全责任？

事件回顾：

2020年2月3日，作为春节假期之后的首个工作日，大部分的企业都要求员工在家办公。尽管各远程办公系统的平台运营方均已经提前做好了应对预案，但是巨量的并发响应需求还是超出了各平台运营商的预期，多类在线办公软件均出现了短时间的“信息发送延迟”、“视频卡顿”、“系统奔溃退出”等故障［6］。在出现故障后，平台运营方迅速采取了网络限流、服务器扩容等措施，提高了平台的运载支撑能力和稳定性，同时故障的出现也产生一定程度的分流。最终，尽管各远程办公平台都在较短的时间内恢复了平台的正常运营，但还是遭到了不少用户的吐槽。

风险评估：

依据《网络安全法》（以下简称《网安法》）第22条的规定，网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。

远程办公平台的运营方，作为平台及相关网络的运营者，应当对网络的运行安全负责。对于短时间的系统故障，平台运营方是否需要承担相应的法律责任或违约责任，需要结合故障产生的原因、故障产生的危害结果、用户协议中的责任约定等因素来综合判断。

对于上述事件而言，基于我们从公开渠道了解的信息，尽管多个云办公平台出现了响应故障问题，给用户远程办公带来了不便，但平台本身并未暴露出明显的安全缺陷、漏洞等风险，也没有出现网络数据泄露等实质的危害结果，因此，各平台很可能并不会因此而承担网络安全的法律责任。

应对建议：

在疫情的特殊期间，主流的远程办公平台产品均免费开放，因此，各平台都会有大量的新增客户。对于平台运营方而言，良好的应急预案和更好的用户体验，肯定更有利于平台在疫情结束之后留住这些新增的用户群体。

为进一步降低平台运营方的风险，提高用户体验，我们建议平台运营方可以：

将用户流量激增作为平台应急事件处理，制定相应的应急预案，例如，在应急预案中明确流量激增事件的触发条件、服务器扩容的条件、部署临时备用服务器等；

对用户流量实现实时的监测，及时调配平台资源；

建立用户通知机制和话术模板，及时告知用户系统响应延迟的原因及预计恢复的时间等；

在用户协议或与客户签署的其他法律文本中，尝试明确该等系统延迟或奔溃事件的责任安排。

2．在远程办公环境下，以疫情为主题的钓鱼攻击频发，企业如何降低外部网络攻击风险？

事件回顾：

疫情期间，某网络安全公司发现部分境外的黑客组织使用冠状病毒为主题的电子邮件进行恶意软件发送，网络钓鱼和欺诈活动。比如，黑客组织伪装身份（如国家卫健委），以“疫情防控”相关信息为诱饵，发起钓鱼攻击。这些钓鱼邮件攻击冒充可信来源，邮件内容与广大人民群众关注的热点事件密切相关，极具欺骗性。一旦用户点击，可能导致主机被控，重要信息、系统被窃取和破坏［7］。

风险评估：

依据《网安法》第21、25条的规定，网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（4）采取数据分类、重要数据备份和加密等措施；（5）法律、行政法规规定的其他义务。同时，网络运营者还应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

远程办公的实现，意味着企业内网需要响应员工移动终端的外网接入请求。员工所处的网络安全环境不一，无论是接入网络还是移动终端本身，都更容易成为网络攻击的对象。一方面，公用WiFi、网络热点等不可信的网络都可能作为员工的网络接入点，这些网络可能毫无安全防护，存在很多常见的容易被攻击的网络漏洞，容易成为网络犯罪组织侵入企业内网的中转站；另一方面，部分员工的移动终端设备可能会安装设置恶意程序的APP或网络插件，员工在疏忽的情况下也可能点击伪装的钓鱼攻击邮件或勒索邮件，严重威胁企业内部网络的安全。

在计算机病毒或外部网络攻击等网络安全事件下，被攻击的企业尽管也是受害者，但如果企业没有按照《网安法》及相关法律规定的要求提前采取必要的技术防范措施和应急响应预案，导致网络数据泄露或者被窃取、篡改，给企业的用户造成损失的，很可能依旧需要承担相应的法律责任。

应对建议：

对于企业而言，为遵守《网安法》及相关法律规定的网络安全义务，我们建议，企业可以从网络安全事件管理机制、移动终端设备安全、数据传输安全等层面审查和提升办公网络的安全：

（1）企业应当根据其运营网络或平台的实际情况、员工整体的网络安全意识，制定相适应的网络安全事件管理机制，包括但不限于：

制定包括数据泄露在内的网络安全事件的应急预案；

建立应对网络安全事件的组织机构和技术措施；

实时监测最新的钓鱼网站、勒索邮件事件；

建立有效的与全体员工的通知机制，包括但不限于邮件、企业微信等通告方式；

制定与员工情况相适应的信息安全培训计划；

设置适当的奖惩措施，要求员工严格遵守公司的信息安全策略。

（2）企业应当根据现有的信息资产情况，采取以下措施，进一步保障移动终端设备安全：

根据员工的权限等级，制定不同的移动终端设备安全管理方案，例如，高级管理人员或具有较高数据库权限的人员仅能使用公司配置的办公专用移动终端设备；

制定针对移动终端设备办公的管理制度，对员工使用自带设备进行办公提出明确的管理要求；

定期对办公专用的移动终端设备的系统进行更新、漏洞扫描；

在终端设备上，对终端进行身份准入认证和安全防护；

重点监测远程接入入口，采用更积极的安全分析策略，发现疑似的网络安全攻击或病毒时，应当及时采取防范措施，并及时联系企业的信息安全团队；

就移动办公的信息安全风险，对员工进行专项培训。

（3）保障数据传输安全，企业可以采取的安全措施包括但不限于：

使用HTTPS等加密传输方式，保障数据传输安全。无论是移动终端与内网之间的数据交互，还是移动终端之间的数据交互，都宜对数据通信链路采取HTTPS等加密方式，防止数据在传输中出现泄漏。

部署虚拟专用网络（VPN），员工通过VPN实现内网连接。值得注意的是，在中国，VPN服务（尤其是跨境的VPN）是受到电信监管的，仅有具有VPN服务资质的企业才可以提供VPN服务。外贸企业、跨国企业因办公自用等原因，需要通过专线等方式跨境联网时，应当向持有相应电信业务许可证的基础运营商租用。

3．内部员工通过VPN进入公司内网，破坏数据库。企业应当如何预防“内鬼”，保障数据安全？

事件回顾：

2月23日晚间，微信头部服务提供商微盟集团旗下SaaS业务服务突发故障，系统崩溃，生产环境和数据遭受严重破坏，导致上百万的商户的业务无法顺利开展，遭受重大损失。根据微盟25日中午发出的声明，此次事故系人为造成，微盟研发中心运维部核心运维人员贺某，于2月23日晚18点56分通过个人VPN登入公司内网跳板机，因个人精神、生活等原因对微盟线上生产环境进行恶意破坏。目前，贺某被上海市宝山区公安局刑事拘留，并承认了犯罪事实［8］。由于数据库遭到严重破坏，微盟长时间无法向合作商家提供电商支持服务，此处事故必然给合作商户带来直接的经济损失。作为港股上市的企业，微盟的股价也在事故发生之后大幅下跌。

从微盟的公告可以看出，微盟员工删库事件的一个促成条件是“该员工作为运维部核心运维人员，通过个人VPN登录到了公司内网跳板机，并具有删库的权限”。该事件无论是对SaaS服务商而言，还是对普通的企业用户而言，都值得反思和自省。

风险评估：

依据《网安法》第21、25条的规定，网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（4）采取数据分类、重要数据备份和加密等措施；（5）法律、行政法规规定的其他义务。同时，网络运营者还应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

内部员工泄密一直是企业数据泄露事故的主要原因之一，也是当前“侵犯公民个人信息犯罪”的典型行为模式。远程办公环境下，企业需要为大部分的员工提供连接内网及相关数据库的访问权限，进一步增大数据泄露甚至被破坏的风险。

与用户流量激增导致的系统“短时间崩溃”不同，“微盟删库”事件的发生可能与企业内部信息安全管理有直接的关系。如果平台内合作商户产生直接经济损失，不排除平台运营者可能需要承担网络安全相关的法律责任。

应对建议：

为有效预防员工恶意破坏、泄露公司数据，保障企业的数据安全，我们建议企业可以采取以下预防措施：

制定远程办公或移动办公的管理制度，区分办公专用移动设备和员工自有移动设备，进行分类管理，包括但不限于严格管理办公专用移动设备的读写权限、员工自有移动设备的系统权限，尤其是企业数据库的管理权限；

建立数据分级管理制度，例如，应当根据数据敏感程度，制定相适应的访问、改写权限，对于核心数据库的数据，应当禁止员工通过远程登录方式进行操作或处理；

根据员工工作需求，依据必要性原则，评估、审核与限制员工的数据访问和处理权限，例如，禁止员工下载数据到任何用户自有的移动终端设备；

建立数据泄露的应急管理方案，包括安全事件的监测和上报机制，安全事件的响应预案；

制定远程办公的操作规范，使用文件和材料的管理规范、应用软件安装的审批流程等；

组建具备远程安全服务能力的团队，负责实时监控员工对核心数据库或敏感数据的操作行为、数据库的安全情况；

加强对员工远程办公安全意识教育。

4．疫情期间，为了公共利益，企业通过系统在线收集员工疫情相关的信息，是否需要取得员工授权？疫情结束之后，应当如何处理收集的员工健康信息？

场景示例：

在远程办公期间，为加强用工管理，确保企业办公场所的健康安全和制定相关疫情防控措施，企业会持续地向员工收集各类疫情相关的信息，包括个人及家庭成员的健康状况、近期所在地区、当前住址、所乘航班或火车班次等信息。收集方式包括邮件、OA系统上报、问卷调查等方式。企业会对收集的信息进行统计和监测，在必要时，向监管部门报告企业员工的整体情况。如发现疑似病例，企业也会及时向相关的疾病预防控制机构或者医疗机构报告。

风险评估：

2020年1月20日，新型冠状病毒感染肺炎被国家卫健委纳入《中华人民共和国传染病防治法》规定的乙类传染病，并采取甲类传染病的预防、控制措施。《中华人民共和国传染病防治法》第三十一条规定，任何单位和个人发现传染病病人或者疑似传染病病人时，应当及时向附近的疾病预防控制机构或者医疗机构报告。

2月9日，中央网信办发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》（以下简称《通知》），各地方各部门要高度重视个人信息保护工作，除国务院卫生健康部门依据《中华人民共和国网络安全法》、《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》授权的机构外，其他任何单位和个人不得以疫情防控、疾病防治为由，未经被收集者同意收集使用个人信息。法律、行政法规另有规定的，按其规定执行。

各地也陆续出台了针对防疫的规范性文件，以北京为例，根据《北京市人民代表大会常务委员会关于依法防控新型冠状病毒感染肺炎疫情坚决打赢疫情防控阻击战的决定》，本市行政区域内的机关、企业事业单位、社会团体和其他组织应当依法做好本单位的疫情防控工作，建立健全防控工作责任制和管理制度，配备必要的防护物品、设施，加强对本单位人员的健康监测，督促从疫情严重地区回京人员按照政府有关规定进行医学观察或者居家观察，发现异常情况按照要求及时报告并采取相应的防控措施。按照属地人民政府的要求，积极组织人员参加疫情防控工作。

依据《通知》及上述法律法规和规范性文件的规定，我们理解，在疫情期间，如果企业依据《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》获得了国务院卫生健康部门的授权，企业在授权范围内，应当可以收集本单位人员疫情相关的健康信息，而无需取得员工的授权同意。如果不能满足上述例外情形，企业还是应当依照《网安法》的规定，在收集前获得用户的授权同意。

《通知》明确规定，为疫情防控、疾病防治收集的个人信息，不得用于其他用途。任何单位和个人未经被收集者同意，不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息，但因联防联控工作需要，且经过脱敏处理的除外。收集或掌握个人信息的机构要对个人信息的安全保护负责，采取严格的管理和技术防护措施，防止被窃取、被泄露。具体可参考我们近期的文章《解读网信办＜关于做好个人信息保护利用大数据支撑防疫联控工作的通知＞》

应对建议：

在远程期间，如果企业希望通过远程办公系统收集员工疫情相关的个人信息，我们建议各企业应当：

制定隐私声明或用户授权告知文本，在员工初次提交相关信息前，获得员工的授权同意；

遵循最小必要原则，制定信息收集的策略，包括收集的信息类型、频率和颗粒度；

遵循目的限制原则，对收集的疫情防控相关的个人信息进行区分管理，避免与企业此前收集的员工信息进行融合；

在对外展示企业整体的健康情况时或者披露疑似病例时，对员工的相关信息进行脱敏处理；

制定信息删除管理机制，在满足防控目的之后，及时删除相关的员工信息；

制定针对性的信息管理和保护机制，将收集的员工疫情相关的个人信息，作为个人敏感信息进行保护，严格控制员工的访问权限，防止数据泄露。

5．远程办公期间，为有效监督和管理员工，企业希望对员工进行适当的监测，如何才能做到合法合规？

场景示例：

远程办公期间，为了有效监督和管理员工，企业根据自身情况制定了定时汇报、签到打卡、视频监控工作状态等措施，要求员工主动配合达到远程办公的监测目的。员工通过系统完成汇报、签到打卡时，很可能会反复提交自己的姓名、电话号码、邮箱、所在城市等个人基本信息用于验证员工的身份。

同时，在使用远程OA系统或App时，办公系统也会自动记录员工的登录日志，记录如IP地址、登录地理位置、用户基本信息、日常沟通信息等数据。此外，如果员工使用企业分配的办公终端设备或远程终端虚拟机软件开展工作，终端设备和虚拟机软件中可能预装了监测插件或软件，在满足特定条件的情况下，会记录员工在终端设备的操作行为记录、上网记录等。

风险评估：

上述场景示例中，企业会通过1）员工主动提供和2）办公软件自动或触发式收集两种方式收集员工的个人信息，构成《网安法》下的个人信息收集行为。企业应当根据《网安法》及相关法律法规的要求，遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并获取员工的同意。

对于视频监控以及系统监测软件或插件的使用，如果操作不当，并且没有事先取得员工的授权同意，很可能还会侵犯到员工的隐私，企业应当尤其注意。

应对建议：

远程办公期间，尤其在当前员工还在适应该等工作模式的情形下，企业根据自身情况采取适当的监督和管理措施，具有正当性。我们建议企业可以采取以下措施，以确保管理和监测行为的合法合规：

评估公司原有的员工合同或员工个人信息收集授权书，是否能够满足远程办公的监测要求，如果授权存在瑕疵，应当根据企业的实际情况，设计获取补充授权的方式，包括授权告知文本的弹窗、邮件通告等；

根据收集场景，逐项评估收集员工个人信息的必要性。例如，是否存在重复收集信息的情况，是否有必要通过视频监控工作状态，监控的频率是否恰当；

针对系统监测软件和插件，设计单独的信息收集策略，做好员工隐私保护与公司数据安全的平衡；

遵守目的限制原则，未经员工授权，不得将收集的员工数据用于工作监测以外的其他目的。

四、总结

此次疫情，以大数据、人工智能、云计算、移动互联网为代表的数字科技在疫情防控中发挥了重要作用，也进一步推动了远程办公、线上运营等业务模式的发展。这既是疫情倒逼加快数字化智能化转型的结果，也代表了未来新的生产力和新的发展方向［9］。此次“突发性的全民远程办公热潮”之后，远程办公、线上运营将愈发普及，线下办公和线上办公也将形成更好的统一，真正达到提升工作效率的目的。

加快数字化智能化升级也是推进国家治理体系和治理能力现代化的迫切需要。党的十九届四中全会对推进国家治理体系和治理能力现代化作出重大部署，强调要推进数字政府建设，加强数据共享，建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则［10］。

为平稳加速推进数字化智能化发展，契合政府现代化治理的理念，企业务必需要全面梳理并完善现有的网络安全与数据合规策略，为迎接新的智能化管理时代做好准备。

‘肆’ 单位局域网络的使用与管理 请大家给一个细则条例 谢谢！

给你几个范本吧：

1：http://law..com/pages/chinalawinfo/4/30/_0.html
国家工商行政管理局机关局域网络系统使用管理规定

为了加强国家工商行政管理网络系统管理，保证网络系统正常运行和使用安全，特制订本规定。

第一条 国家工商行政管理局经济信息中心负责国家工商行政管理局计算机网络系统建设及技术方案、标准的制定、网络化应用软件开发和实施；主要网络连接设备选型；网络地址分配；指导省级工商行政管理局网络工程的实施，建立全国工商行政管理信息网络系统；负责网络系统的管理。

第二条 国家工商行政管理局信息中心设网络系统管理员，对网络系统运转情况进行监督检查和应用指导。网络系统管理员要认真履行职责，严格执行本规定。

第三条 国家工商行政管理局机关局域网为非涉密信息网。网络划分为用于本局业务处理的内部网和面向社会公众的外部网，内网传输不能对外公开的信息，外网传输对外公开的信息，内、外网采用网络安全设备进行隔离。外部网接入Internet；内部网与各地工商局相联接，构成全国工商行政管理系统网络。

第四条 凡使用网络节点计算机(或终端机)接入内、外网，通过计算机网络传送各类信息，需与信息中心计算机网络处联系，分别填写内、外网用户申请表，经本司局领导与信息中心领导审批后，由信息中心统一安排，网络处网络系统管理员负责开户，按照上网用户行政级别分配相应的用户权限。
网络出口信息流量有限，加之局域网络安全设备尚未完备，为加强网络系统安全保护，在增加网络安全设备的同时，每个司局和直属单位需要开通Internet浏览器功能的应从严掌握，根据工作需要专项向信息中心申请。

第五条 国家工商行政管理局直属单位上网，自行配置计算机、网络硬件、软件设备，适当收取上网费用，由上网单位与信息中心综合处联系。

第六条 为确保网络运行安全，各单位在使用计算机网络时应注意如下事项：
(一)网络限定传输非涉密信息。每个单位存有保密信息的计算机不得上网，保密信息不得上网，以确保信息的安全；
(二)一台节点机目前限定对应多个用户帐号，每一节点机必须落实一个责任人。用户帐号与设备物理位置对应，节点机设备不要随意移动房间，也不要使用其他房间的设备，以落实安全责任制；
(三)本网络采用专线上网方式。为保护网络系统和网络信息的安全，各单位不得采用拨号上网方式；
(四)用户使用电子邮件的计算机空间有一定限制，不可用来收发过大的电子邮件，并且注意删除没用的邮件。

第七条 入网计算机操作人员要经信息中心培训合格后方可上网，要按照网络系统管理员分配的权限进行操作，不得自行入网或修改权限。网络系统出现故障，应与信息中心联系，由网络系统管理员根据分管范围进行处理。

第八条 入网计算机操作人员要遵守国家有关法律、行政法规，要遵守国家关于互联网使用的各项规定及本规定，严格执行安全保密制度，不得将保密信息以及不能对社会公开的信息上网；不得利用互联网从事危害国家安全、泄漏国家秘密等违法犯罪活动；不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息；上网用户不得从事与工作无关的信息传输与发布，各单位网络信息的传输和发布，网络信息的安全，由本单位领导把关、负责。

第九条 计算机业务系统应用软件以及需要使用的各类软件，必须经测试、认定并经本单位领导与信息中心领导审批后，方可上网。

第十条 在网络节点计算机上使用的光盘或软盘都必须确保不含有计算机病毒。要随时注意报纸等媒体、信息中心发出的有关防范计算机网络病毒和黑客的信息，及时采取措施，防止病毒和黑客的侵害。

第十一条 上网操作人员要妥善保管好自己的计算机用户名和密码，不得泄露，防止造成信息资源的损失或网络系统的破坏。

第十二条 本规定自发布之日起施行。

==================================================================================================
2：http://www.nxgt.gov.cn/scxx/ShowArticle.asp?ArticleID=828

为了加强我局局域网计算机使用的管理，规范操作程序，做到安全有效运行，提高办事效率，特作如下通知：

一、严格按计算机程序开关机，并请关机后切断电源。

二、专人专机，明确计算机保管使用责任人，每台计算机须设置密码，任何人不得泄露本人使用的计算机密码；严禁干职工家属子女及外来人员等上机操作。

三、严禁在未经信息中心技术人员许可的情况下，擅自把个人计算机、笔记本电脑等接入局域网；严禁私拉乱接网线，增加接入终端或移动办公计算机等须请信息中心技术人员协助。

四、严禁擅自修改计算机和网络的系统配置参数。

五、除非工作需要，严禁擅自在局域网计算机上使用移动硬盘、可刻录光驱、U盘和软盘等移动存储设备；严禁在局域网计算机和家用计算机之间拷贝数据；严禁把在局域网计算机上拷贝的备份数据等带出办公区域。

六、严禁通过电子邮件、QQ、拷贝文档等方式泄露单位技术资料和单位密码。

七、严禁在局域网计算机上擅自安装盗版软件、游戏软件以及各类未经许可的应用软件；严禁使用局域网计算机进行游戏和娱乐；严禁登录黄色、反动等非法网站。

八、因个人原因造成计算机故障、系统损坏、资料泄密等各种事故者，追究相关人员责任。

XX局

XXXX年XX月XX日

============================================================================

在网上搜一搜还有很多的。

‘伍’ 如何加强网络安全的实施与管理办法

1、制定网络安全管理方面的法律法规和政策
法律法规是一种重要的行为准则，是实现有序管理和社会公平正义的有效途径。网络与我们的生活日益密不可分，网络环境的治理必须通过法治的方式来加以规范。世界很多国家都先后制定了网络安全管理法律法规，以期规范网络秩序和行为。国家工业和信息化部，针对我国网络通信安全问题，制订了《通信网络安全防护管理办法》。明确规定：网络通信机构和单位有责任对网络通信科学有效划分，根据有可能会对网络单元遭受到的破坏程度，损害到经济发展和社会制度建设、国家的安危和大众利益的，有必要针对级别进行分级。电信管理部门可以针对级别划分情况，组织相关人员进行审核评议。而执行机构，即网络通信单位要根据实际存在的问题对网络单元进行实质有效性分级。针对以上条款我们可以认识到，网络安全的保证前提必须有科学合理的管理制度和办法。网络机系统相当于一棵大树，树的枝干如果出现问题势必影响到大树的生长。
可以说网络安全的防护网首先就是保护网络信息安全的法律法规，网络安全问题已经成为迫在眉睫的紧要问题，每一个网络使用者都应该与计算机网络和睦相处，不利用网络做违法违规的事情，能够做到做到自省、自警。
2、 采用最先进的网络管理技术
工欲善其事，必先利其器。如果我们要保障安全稳定的网络环境，采用先进的技术的管理工具是必要的。在2011年中国最大软件开发联盟网站600万用户账号密码被盗，全国有名网友交流互动平台人人网500万用户账号密码被盗等多家网站出现这种网络安全惨案。最主要一个原因就是用户数据库依然采用老旧的明文管理方式没有及时应用新的更加安全的管理用户账号方式，这点从CSDN网站用户账号被泄露的声明：“CSDN网站早期使用过明文密码，使用明文是因为和一个第三方chat程序整合验证带来的，后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式，改成了加密密码。 但部分老的明文密码未被清理，2010年8月底，对账号数据库全部明文密码进行了清理。2011年元旦我们升级改造了CSDN账号管理功能，使用了强加密算法，账号数据库从Windows Server上的SQL Server迁移到了Linux平台的MySQL数据库，解决了CSDN账号的各种安全性问题。”通过上面的案例，我们知道保障安全的网络应用避免灾难性的损失，采用先进的网络管理与开发技术与平台是及其重要的。同时我们也要研究开发避免网络安全新方法新技术。必须达到人外有人，天外有天的境界，才能在网络安全这场保卫战中获得圆满胜利。保证网络优化环境的正常运转。
3、 选择优秀的网络管理工具
优良的网络管理工具是网络管理安全有效的根本。先进的网络管理工具能够推动法律法规在网络管理上的真正实施，保障网络使用者的完全，并有效保证信息监管执行。
一个家庭里面，父母和孩子离不开沟通，这就如同一个管道一样，正面的负面都可以通过这个管道进行传输。网络系统也是这样，孩子沉迷与网络的世界，在无良网站上观看色情表演，以及玩游戏，这些都是需要借助于网络技术和网络工具屏蔽掉的。还有些钓鱼网站以及垃圾邮件和广告，都需要借助有效的网络信息系统的安全系统来进行处理。保障网络速度的流畅和安全。网络管理工具和软件可以担负起这样的作用，现在就来看看几款管理系统模型：
网络需求存在的差异，就对网络软件系统提出了不同模式和版本的需求，网络使用的过程要求我们必须有一个稳定安全的网络信息系统。
网络环境的变化也给网络安全工具提出了不同的要求，要求通过有效划分网络安全级别，网络接口必须能够满足不同人群的需要，尤其是网络客户群和单一的网络客户。在一个单位中，一般小的网络接口就能满足公司内各个部门的需要，保障内部之间网络的流畅运行即是他们的需求，因此，如何选用一款优质的网络管理软件和工具非常的有必要。
4、 选拔合格的网络管理人员
网络管理如同一辆性能不错的机车，但是只有技术操作精良的人才能承担起让它发挥良好作用的重任。先进的网络管理工具和技术，有些操作者不会用或者不擅长用，思维模式陈旧，这样只会给网络安全带来更多的负面效应，不能保证网络安全的稳定性，为安全运转埋下隐患。
（1）必须了解网络基础知识。
总的来说，网络技术是一个计算机网络系统有效运转的基础。必须熟知网络计算机基础知识，网络系统构架，网络维护和管理，内部局域网络、有效防控网络病毒等基础操作知识。另外，网络管理者要具备扎实的理论基础知识和操作技能，在网络的设备、安全、管理以及实地开发应用中，要做到熟练掌握而没有空白区域。计算机网络的维护运行，还需要网络管理人员有相应的职业资格证书，这也能够说明管理者达到的水平。在网络需求和网络性能发挥等目标上实施有效管理。
（2）熟悉网络安全管理条例
网络管理人员必须熟悉国家制定的相关的安全管理办法，通过法律法规的武器来保护网络安全，作为他们工作的依据和标准，有必要也有能力为维护网络安全尽职尽责。
（3）工作责任感要强
与普通管理岗位不同的是，网络安全问题可能随时发生。这就给网络管理人员提出了更高更切实的要求。要具有敏锐的观察力和快速做出决策的能力，能够提出有效的应对办法，把网络安全问题降到最低程度，所以网络管理人员的责任心必须要强。对于出现的问题，能在8小时以内解决，尽量不影响以后时间段的网络运转。
总之，网络安全问题已经上升到国家安全问题的高度，怎样有效地加强网络安全管理，保障国家的长治久安，防范不良意识形态的侵入和影响，各国一直在努力研究。笔者在网络安全管理方面提出了自己肤浅的观点，希望对我国民航的网络安全管理有所借鉴帮助。

‘陆’ 急！！机房安全教育制度和安全奖惩制度啊，发我邮箱[email protected]，不胜感激。

计算机机房管理制度

机房是支持信息系统正常运行的重要场所。为保证机房设备与信息的安全，保障机房有良好的运行环境和工作秩序，特制定本制度。
（一）中心机房的管理由系统管理员负责，非机房工作人员未经允许不准进入。未经许可不得擅自上机操作和对运行设备及各种配置进行更改。
（二）机房管理员应认真履行各项机房监控职责，定期按照规定对机房内各类设备进行检查和维护，及时发现、报告、解决硬件系统出现的故障，保障系统的正常运行。
（三）交换机、服务器、路由器、电脑及通信设备是网络的关键设备，由专人管理，系统管理员的操作须严格按照操作规程进行，任何人不得擅自更改系统设置。不得更换配置、外借，更不能挪作它用。
（四）制定IP地址分配表和中心内部线路的布局图，给每个交换机端口编上号码，以便操作和维护，未经批准不得私自改变网络接口。
（五）严格遵守保密制度，数据资料和软件必须由专人负责保管，未经允许、不得私自拷贝、下载和外借；处理秘密事务时，不得接待参观人员或靠近观看；严禁任何人使用未经检测允许的介质(软盘、光盘等)。未经许可任何人不得挪用和外借机房内的各类设备、资料及物品。
（六）加强数据安全及成果保护，中心机房要对各类重要文件、文字材料、报表数据、声像资料及时备份，并按月收集整理全局形成的电子档案，并刻录成光盘，一式3张编号归档。
（七）建立机房登记制度，对本地局域网、互联网的运行建立档案，对所发生的故障，处理过程和结果必须详细登记。
（八）网管人员统一管理计算机及相关设备，完整保存计算机及其相关设备的驱动程序，保修卡及重要随机文件。
（九）机房内应保持整洁，严禁吸烟、聊天、会客；不准在计算机及工作台附近放置易燃、易爆、腐蚀、强磁性等可能危及设备安全的物品,做到防静电、防火、防潮、防尘、防热。注意机房内温度、湿度、电压等参数，并做好记录；发现异常及时采取相应措施。
（十）禁止非专业人员操作、使用机房设备。对各种设备应按规范要求操作、保养。发现故障，应及时报请维修。机房工作人员必须掌握防火技能，定期检查消防设施是否正常，出现异常情况应立即报警 ，切短电源用灭火设备扑救。

‘柒’ 网络安全如何加强

一、克制自己的欲望：网络带给我们的东西特别多，尤其是平时我们得不到却十分想得到的东西，那么我们的这个欲望就会被别人网络上给利用了，为了要实现自己的欲望，就会对网络上某些人的行为放松警惕，自然就会让自己处于网络安全的隐患之中。

所以如果你克制自己的欲望，能够清晰地对待别人对你的各种诱惑，在网络上自己会不会就更加安全了呢？

现代人把大部分生活交给了网络，身份信息、银行账户、家庭情况、身体状况等等信息，网络上映射着另一个完完整整的自己，然而，在隐私信息盗窃泛滥的互联网上，每个人都被裸体般暴露。

没人能够免受网络风险的影响，但你可以采取一些步骤来最大程度地减少发生意外的机会。

所以关于网络安全，你要有自己的态度和原则，学会一两个自己安全不被危及的方法技巧，其实就可以轻轻松松地在网络上自由来往了。

最后呼吁，安全网络环境，全民共建！不法的请收手，不是今天不报，是时候未到，到头来给你算总账。全民提高自我保护意识，不让不法见缝插针。

‘捌’ 医院国家信息安全等级保护制度措施是什么，那位大哥大姐知道请告诉小弟，急用。。

各大医院系统必须做等保，互联网医疗要想上线取的上诊疗资质，必须过等保。

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

等级保护一共分为5级：

① 第一级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益;

② 第二级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全;

③ 第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害;

④ 第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害;

⑤ 第五级，等级保护对象受到破坏后，会对国家安全造成特别严重损害。

证书案例